ChinaAutoRegs|GB/T 41901.2-2022英文版翻译 道路车辆 网联车辆方法论 第2部分：设计导则
Road Vehicles — Extended vehicle(ExVe) methodology — Part 2: Methodology for designing the extended vehicle

引言
本文件专用于网联车辆（ExVe）。 在2010年代初期，技术的进步产生了与车辆通信的新方式，不仅可以通过物理方式访问数字信息，而且可以无线方式访问数字信息。 消除物理连接的约束已可能：
——远程访问是以前不可能或非常困难的车辆功能；
——简化对多个信息源的访问，这些信息源共同为新功能创造了机会。 这些进步使得与每个车辆数据互连的需求增加。这种现象类似于通过在车辆中使用多路复用总线
而增加的新功能。
这种演变导致引入了《道路车辆 网联车辆方法论 第1部分 通用信息》中所述的“网联车辆”（ExVe） 概念。
设计这些新功能时，应考虑技术限制和社会需求，还应减轻由于网联车辆与外部世界之间的新通信 方式带来的风险。
在这种情况下，本文件旨在通过指定一组通用的规则和基本原则来指导网联车辆制造厂，每个网联 车辆制造厂都将从中衍生自己的详细和特定的方法或流程来设计网联车辆。
1 范围

本文件规定了网联车辆设计导则的术语和定义、规则与基本原则。 本文件适用于M、N类汽车。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。
GB/T XXXXX 道路车辆 网联车辆方法论 第1部分 通用信息

3 术语和定义

GB/T XXXXX界定的以及下列术语和定义适用于本文件。
基本原则 basic principle
在设计网联车辆时所考虑的设计原则。
生命周期 life cycle
车辆在其整个生命中所能遇到的各种情况，包括设计、制造、客户使用、维护和回收等。
本地诊断协助者 local diagnostic facilitator
车辆上与远程技术人员保持通信的人员，该人员能够按照远程技术人员的要求操作并回答远程技 术人员的问题，从而帮助诊断。
注：本地诊断协助者具备理解和描述车载仪器和信号装置的显示内容的能力。
操作者 operator 在车辆内，操作、控制或服务网联车辆的人。 示例：本地诊断协助者。
需求方 requester 向网联车辆制造厂提出新功能需求的企业或法人实体。
注1：在提交需求时，将充当售后服务提供商的车辆制造厂视为需求方。 注2：若车辆制造厂与网联车辆制造厂相同时，可以使用其内部流程。
规则 rule
在设计网联车辆时所满足的基本设计要求。

4 缩略语

BP 基本原则
Basic Principle
ECU 电子控制单元 Electronic Control Unit
ExVe 网联车辆 Extended Vehicle
LDF 本地诊断协作者 Local Diagnostic Facilitator
NUM 规则或BP编号 Number
R 规则 Rule

5 用于识别规则和基本原则以及规定其相关内容的样例

在本文件中，将规则和基本原则用以下方式表示：
XX_NUM：规则或基本原则的内容。 XX_NUM：引用规则（R）或基本原则（BP），其中：
——XX 是用于识别规则（R）或基本原则（BP）的字母；
——NUM 是一个整数，用于识别规则或基本原则编号。NUM 是介于 001 和 999（含）之间的整数。
示例：R_025 与 R_026 是两个不同的规则。
注：规则和基本原则后面可以跟着说明性正文。

6 网联车辆设计导则概述

设计导则在网联车辆设计过程中的作用

本文件目的在于通过规定通用要求的体系，包括规则和基本原则，为网联车辆及其接口的设计（物 理、文档、支持等）提供指南。由此，网联车辆制造厂应制定出自己的方法或流程，用于根据特定的用 例或场景去设计网联车辆。
本文件未规定这些方法和流程，因为这些是网联车辆制造厂的技术机密。 每个网联车辆制造厂通常都通过协作方法和流程来规范该设计过程中的工作方式，如图1所示。

网联车辆设计导则主要内容

网联车辆设计导则包含（见图2）：
——用于提供对新需求的网联车辆功能进行完整描述所需最少信息的标准化模板（见附录 B 和附 录 C）；
——用于指导新的网联车辆功能设计的规则和基本原则的体系（见第 7 章和第 8 章）；
——用于在响应新需求的网联车辆功能时提供所需的最少信息的标准化模板（见附录 B 和附录
D）；
图2说明了在分别通过附录C和附录D中指定的模板提供需求和响应信息时的内容。

考虑新的网联车辆功能

网联车辆制造厂通过考虑本文件的规则和基本原则来应用网联车辆的设计导则。 这适用于网联车辆的设计或设计变更，包括车辆与第三方（例如，车辆操作者、车主、服务提供商
或其他网联车辆）之间的直接或间接通信。 网联车辆新的功能需求可以来自于法规、标准和个体需求。在这种情况下，对新的网联车辆功能的
需求应由需求方通过精确描述所有必需元素（例如与性能相关）的技术需求模板来定义。 设计特定的新接口用于车辆进行远程通信可能来自法规要求。设计导则也适用于这种情况。
本文件涉及需求方对网联车辆新功能的任何需求，还涉及需要扩展或远程使用现有功能的情况。对 于多阶段生产的车辆，本文件适用于所有相关制造厂。
仅添加新设备而不考虑现有设计来启用新功能可能不会获得令人满意的结果。一方面，新需求的功 能可能会不可控地干扰初始或现有的功能。另一方面，这些附加功能所需的所有组件通常无法在车辆本 身中找到（例如，诊断，语音识别，制造零件清单）。该设计导则的基本原则旨在强调对这些风险的考 虑。
本文件规定的这些规则与基本原则旨在以适当的方式考虑由于新的网联车辆功能而导致的网联车 辆的内部风险，无论这个功能是否已经存在。对这些风险的考虑与管理可能导致采取包括但不限于以下 措施：
——修改现有网联车辆的电子系统（资源等）用于实现新功能；
——不配置新功能；
——配置新功能，但只限于特定条件下；
——修改其他现有功能。 还考虑非技术性的措施（例如合同措施）来管理风险，例如与现有功能或服务的退化或破坏的相关
风险。
车辆制造厂对需求的正式响应见附录B。

7 网联车辆设计导则——规则

概述

网联车辆设计导则基于如下考虑：远程访问应在车辆的全生命周期内保持车辆的基本安全性和防 护性。
因此，本文件包含两条规则（R_001和R_002），网联车辆制造厂应在其设计方法和流程中采用。

安全性相关规则

R_001：在设计网联车辆的新功能时，网联车辆制造厂应考虑可能存在的安全性风险。对于会影响 安全性的功能，应根据最佳安全性实践进行处理。
网联车辆制造厂在设计网联车辆时，应在全生命周期内考虑车辆、驾乘人员、操作者和其他用户的 安全。
注：可以在一些现有标准（例如，GB/T 34590）中找到部分最佳安全实践。 在设计网联车辆新的功能时，网联车辆制造厂应在其设计方法和流程中应用规则R_001。 在应用规则R_001时，可以基于以下安全标准对网联车辆功能进行分类：
——对正在行驶过程中的车辆行为无影响的网联车辆功能，如娱乐信息或并不会对驾驶员产生干 扰风险的功能；
——对车辆安全有影响的网联车辆功能，这些功能可能存在与车辆行为（例如发动机、制动、转 向、悬架）的交互或可能会分散驾驶员的注意力。
这种分类是由网联车辆功能的内在风险、特定情况下识别出的风险或特定操作功能下（在每种情况 下，相同的动作不会导致相同的风险）识别的风险来确定。
运行中的车辆安全风险示例： 示例1：对车辆制动能力的影响。 示例2：不适当的功能，例如在道路上行驶时将车辆静止。 示例3：超出指定参数的不适当功能。 静止车辆安全风险示例：
示例1：在前排座椅有人时，安全气囊误作用。 示例2：在高压电池断开时，高压部件误启动。 示例3：在维修作业期间，部件误启动。

防护性相关规则

R_002：在设计网联车辆的新功能时，网联车辆制造厂应考虑可能存在的防护性风险。对于会影响 防护性的功能，应根据最佳防护性实践来处理。
网联车辆制造厂负责确保车辆在全生命周期内的防护性。 在网联车辆中设计新的功能时，网联车辆制造厂应在其设计方法和流程中应用规则R_002。 注1：信息安全被视为通用防护性领域的一部分。
注2：信息传输不受控会产生防护性风险，例如盗窃车辆或盗窃运输货物。 注3：在必要时，可以对网联车辆设置保密措施（验证访问者，验证数据的完整性和保密性），以确保网联车辆不会
遭受篡改和未经授权的访问。
注4：某些操作数据可能需要加密处理。 注5：每个数据都有着固有的保密等级。考虑到可能的用途，数据关联可能导致保密级别远高于每个数据的保密级
别。 注6：防护性问题会导致安全性问题。 防护性风险示例： 示例1：对备用密钥的未授权编码。 示例2：未授权的远程 ECU 重新编程。 示例3：克隆车辆连接接口。 示例4：不匹配的访问。

8 网联车辆设计导则——基本原则

概述

网联车辆制造厂在自己的设计方法和流程中采用基本原则时，制造厂应始终满足本文件规定的规 则要求。

一般基本原则

BP_001：网联车辆制造厂负责网联车辆的设计。 BP_002：网联车辆制造厂负责网联车辆的所有接口的设计，以便实现与网联车辆的通信。 BP_003：网联车辆制造厂负责决定网联车辆功能的实现。 网联车辆制造厂负责网联车辆的设计，包括其功能（见BP_001）。因此，网联车辆制造厂既要负责
网联车辆每个功能的实现，又要负责整个功能集的一致性。 在考虑根据本文件规定的方法实现网联车辆新功能时，网联车辆制造厂可能会得出以下客观限制：
——功能可用性的客观限制；
——功能性能的客观限制；
——由于车辆、型号等差异造成的客观限制；
——特殊市场条件导致的客观限制。

与生命周期相关的原则

BP_004：网联车辆制造厂负责评估新的网联车辆功能在全生命周期内对车辆的影响。

通常，需求方表示在访问数据时对所需求网联车辆功能的可用性和预期性能在全生命周期里不应 受限制。
网联车辆制造厂应在车辆的全生命周期（见图3）中确定集成此功能的影响，从而确定在需求方未 提及的情况下（例如，在制造、维护或回收阶段）可能产生的不相容性。
该分析的结果可能会导致所需求网联车辆功能性能和可用性地降低。
注1：本图左边部分表示了设计与生产阶段。
注2：本图的右边部分表示了售后阶段。
图3 网联车辆的生命周期各阶段图示

BP_004对R_001“安全性相关规则”的作用示例（见图4）：
——此示例阐述了需要由网联车辆制造厂评估的、可能出错的远程激活。
——应避免由车辆供应商在“售前”错误地远程激活（例如，在工厂或展览厅）。在车辆和功能 激活的情况下，车辆内外的人和货物可能面临较大的安全风险。为避免这种情况，网联车辆 功能应只能由授权人员在合适场景下激活。
——在图 4 中，技术人员输入了错误的车辆识别代号来访问在用车辆。这个错误的车辆识别代号 可能是在产车辆的正确车辆识别代号。该错误可能会在车辆生产阶段导致重大问题。

图4 由 BP_004 阐述的潜在风险示例

与远程访问相关的基本原则

BP_005：网联车辆制造厂负责管理因某一现有功能可以远程使用而导致的额外风险。 远程访问可能会在不能确定车辆的当前状态与环境的特定条件下运行。 在某些情况下，这可能会损坏自车、其他车辆或伤害到乘客及周围的人员。 例如控制发动机喷油系统功能、电子制动阀功能或者简单功能（例如操作电动车窗）。 因此，在设计之前，必须对与网联车辆功能相关的其他风险进行基本分析。

BP_005对R_001“安全性相关规则”的作用示例（见图5）：
——在图 5 的示例中，当在售后车间实施车辆诊断（场景 1）时，专业人员可以决定在事先完成 车辆的外观检查之后，控制发动机喷油器。
——当车辆停在路边（场景 2）时，也可以通过网联车辆的远程访问来进行同一功能。但是，在 这一场景中，如果喷油系统存在燃油泄漏，则同一控制动作会对人员与环境造成重大后果。
——在场景 1 中，由具备资格的专业人员通过应用特定流程来管理安全链，并在紧急情况下做出
处理。在场景 2 中，如果无本地诊断协助者，则无法做出紧急处理。 本地诊断协助者应至少能够理解或描述车载仪器和信号装置的指示。

图5 与 BP_005 相关的潜在风险示例

网联车辆现有设计相关的基本原则

BP_006：网联车辆制造厂负责管理新增远程功能对现有设计的影响。
在配置新的网联车辆功能时，网联车辆制造厂可能需要考虑现有设计（见图6）。这可能导致需要 更改现有的一些功能。更改程度取决于：
——网联车辆制造厂是在车内还是车外配置该功能；
——考虑网联车辆的现有功能；
——在不影响原有功能的情况下，现有功能无法满足所要求的性能和可用性。

图6 在网联车辆内集成新功能的示例

一旦网联车辆制造厂决定保持现有功能，则接下来的设计阶段就是：
a) 管理这些功能与新功能在车辆运行期间的优先权（BP_007）；
b) 管理资源的可用性（BP_008）。 BP_006对R_002“防护性相关规则”的作用示例（见图7）：
——现代车辆电子电气架构通过在多个电子控制单元中配置安全数据来管理防护性。这降低了车 辆被盗的可能性。
——不对防护性数据进行保护的远程功能是不可接受的。
——在图 7 的示例中，左侧的场景描述了安全锁定的车辆，而右边的场景描述了通过干扰锁定消 息可以解锁车辆的情况。

图7 与 BP_006 相关的风险的示例

与网联车辆功能之间的相互作用和优先权管理相关的基本原则

BP_007：网联车辆制造厂负责规定网联车辆所有功能的优先权。
在网联车辆里配置新增功能时，应将其与网联车辆现有功能统一考虑（见BP_006），以实现一致的 优先逻辑。

与资源的不退化与可用性相关的基本原则

BP_008：网联车辆制造厂负责考虑网联车辆的可用资源，确保新增功能不会影响网联车辆的现有设 计和功能。
从新项目开始到随后的整个研究和开发周期，要确保将系统的数字处理能力合理分配以满足功能 需求。
在网联车辆里配置新增功能时，网联车辆制造厂应确保新增功能不对现有功能（见BP_006）产生不 利影响。
BP_008对R_001“安全性相关规则”的作用的示例（见图8）：
——在第 1 种场景，网联车辆制造厂合理配置电子资源使得能够在紧急情况下执行制动功能。
——在第 2 种场景，一些电子资源受到不利影响，导致数据流中断，减少了必要的资源，从而阻 碍了制动功能关键数据的交换。

图8 由 BP_008 解决的潜在安全相关风险的示例

与网联车辆通信相关的基本原则： BP_009：对于任何通信类型（有线或无线），网联车辆的设计导则都适用。
BP_010：对于给定的用例与场景，网联车辆制造厂负责规定适当的网联车辆接口用于所设计的功能，并负责设计接口使其以无差别方式达到所规定的要求。 各功能的数据通过网联车辆的适当接口来访问（见图9）。
注：使用专用接口访问与功能相关的数据并不意味着数据的可用性。

图9 针对不同用例的两种不同网联车辆接口示例

与网联车辆功能验证相关的基本原则

BP_011：网联车辆制造厂负责将网联车辆作为整体系统进行设计完整性验证。

与禁止监控相关的基本原则

为降低恶意竞争的风险，引入了BP_012和BP_013。 BP_012：网联车辆制造厂负责确保所设计的网联车辆功能不应出于竞争目的去监控用户的使用情况。
BP_013：网联车辆制造厂负责确保所设计的网联车辆功能不应出于竞争目的去监控售后服务提供 商的售后服务情况。

​***********************************************
现成译文，到款即发。
任取样页验证译文质量。
免费提供正规增值税发票。
请联系手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com 购买完整译文。
专业源于专注|舍吾予言标准翻译/ChinaAutoRegs/始终专注于机动车标准翻译！迄今为止已翻译上千个国内外汽车法规标准！独家打造千万级汽车专业术语库和记忆库。